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. D L 8 SSffJL^K fc E l 29F EI !&. DE M,SE EN 0£ uvre D'UNE operation modulaire elementaire SELON 

LA METHODE DE MONTGOMERY. 

(§) La presente Invention propose un coprocesseur 200 
poureffectuerdes operations modulaires selon la m£thode 
de Montgomery. Le coprocesseur de Invention utilise un 
unique circuit ae multiplication a accumulateur 231 . La pr6- 



ilque circuit de multiplication a accumulateur 231 . La pr6- 
sente Invention se rapporte 6galementau proc6d6 de calcul 
mis en oeuvre pour realiser une operation modulaire avec 
ce coprocesseur. 
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Disposit if et proc6d£ de mise en ceuvre d'une operation 
modulair e elfementaire selon la m6thode de Montgomery^ 

L ! invention concerne un dispositif et un proc^de de 
mise en ceuvre d'une op6ration modulaire £16mentaire selon 
la methode de Montgomery. Cetfce methode permet 
d f effectuer des calculs modulaires dans un corps fini (ou 
corps de Galois) sans effectuer de divisions. 

Classiquement, les operations modulaires dans les 
corps finis sont utilisees en cryptographic pour des 
applications telles que 1 1 authentif ication de messages, 
1 1 identification d f un utilisateur et 1 ' ^change de cl£s. 
De tels exemples d' applications sont d^crits par exemple 
dans la demande de brevet FR-A-2 679.054 (ci-apr£s Dl). 

On trouve dans le commerce des circuits int£gr6s 
dedi6s a de telles applications, par exemple le produit 
fabriqu6 par STMicroelectronics S.A. et reference 
15 ST16CF54, bati autour d'une association de type unite 
centrale - coprocesseur arithm6tique, et d£di6 a la mise 
en ceuvre de calculs modulaires, Le coprocesseur utilise 
permet de traiter des multiplications modulaires, en 
utilisant la methode de Montgomery, II fait l'objet de la 
20 demande de brevet EP-A-0 601 907 (ci-apr&s D2) . 

L'op6ration de base, dite Pfieid/ consiste, £ 
partir de trois donn6es binaires, A (multiplicande) , B 
(multiplieur inferieur £ N ) et N (modulo), cod^es sur un 
nombre entier n de bits, £ produire une donn£e binaire 
25 not6e P(A, B) N codee sur n bits, telle que P(A, B) N = A * 
B * I mod N, avec I = 2~ n mod N. Pour cela, on consider© 
que les donnees sont cod6es sur m mots de k bits, avec m 
* k = n, et on fournit les mots A et B £ un circuit de 
multiplication ayant une entree s£rie, une entree 
30 parallele et une sortie serie. 

Pour le coprocesseur d6crit dans D2, on a k = 32 et 
m = 8 ou 16. La figure 1 represente le coprocesseur 
d f arithmetique modulaire d6voi!6 par D2 - Ce coprocesseur 
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comprend les elements suivants: 

- trois registres a decalage 10, 11, et 12, de m "* k 
bits, destines a recevoir respectivement le multiplieur 
B, le resultat S, et le modulo N, 

5. - des multiplexeurs 13 a 15 dont les sorties sont 

reliees respectivement aux entrees des registres 10 a 12, 

- trois registres a decalage 16, 17, et 18, de k 
bits, ayant une entree serie et une sortie parallele, 
destines a recevoir respectivement k bits du 

10 multiplicande A, un parametre de calcul note J 0 , un 
resultat intermediaire note y 0 , 

- deux circuits de multiplication 19 et 20 ayant 
chacun une entree serie, une entree parallele de k bits 
et une sortie s6rie, 

- deux bascules paralleles 21 et 22 de k bits qui 
servent de tampon aux circuits de multiplication 19 et 
20, 

- un multiplexeur 23 qui sert a relier le registre 22 
soit au registre 17, soit au registre 18, 

20 - trois multiplexeurs 24, 25 et 26 servant a 

aiguiller les donnees sur les entries des circuits de 
multiplication 19 et 20, 

- trois circuits de soustraction 27, 28, et 29 
comportant chacun deux entrees series et une sortie 

25 serie, 

- deux circuits d'addition 30 et 31, ayant chacun 
deux entrees series et une sortie s<§srie, 

- trois cellules a retard 32, 33 et 34 qui sont en 
fait des registres a decalage de k bits, et qui servent a 
retarder les donnees de k cycles d'horloge pour masquer 
le temps de calcul des circuits de multiplication 19 et 
20, 

- un circuit de comparaison 35, 

- deux multiplexeurs 36 et 37 qui permettent le 
contr61e des circuits de soustraction 27 et 28, 

- un multiplexeur 38, et 



30 
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- un demultiplexeur 39* 
Pour plus de details sur la realisation de ces 
£l£ments on peut se r6f6rer 'A D2. 

Pour realiser une operation 614mentaire dite P^ield 
5 du type P F ield(A / B) N - A * B * I mod N, A et B Stant 
codes sur m mots de k bits, et I £tant une erreur Sgale a 
2~ m * k , on realise m fois l 1 iteration de boucle suivante 
avec i un indice variant de 0 a m-1 : 
X = S(i-l) + Ai * B, 
10 y 0 = (X * J 0 ) mod 2*, 

Z » X + (N * Yq) 

S(i) = Z \ 2^, \ etant une division enti^re, 
si S(i) est sup£rieur & N alors on soustrait N a 
S(i) avant la prochaine iteration, 
15 avec S(-l) = 0, A^ 6tant le mot de k bits de poids 

i, J 0 Stant un mot de k bits defini par 1* equation 
( (N . * J 0 ) + 1) mod 2 k = 0. 

Le coprocesseur de la figure 1 permet d'effectuer 
une iteration complete par un ctecalage simultan6 de m * k 
20 bits des registres 10 £ 12 contenant respectivement B, 
S(i-l) et N suivi d'un d^calage de 2 * k bits du registre 
12 pour memoriser S(i), le mot Ai etant chargd dans le 
registre 21, et le mot Jq etant charge dans le registre 
17. Pour rfealiser le calcul complet de PField(^/ B)n,- i'l 
25 suffit de r6p£ter m fois chaque iteration en changeant le 
mot Aj[ contenu dans le registre 21 lors de chaque 
iteration. 

1/ operation. « X = S(i-l) + Aj_ * B » se fait £ 
l'aide des circuits de multiplication 19 et d'addition 

30 30. L'operation « Y 0 » (X * Jq) mod 2 k » se fait, lors 
des k premiers ddcalages, dans le circuit de 
multiplication 20, en ayant pris soin de memoriser Jq 
dans le registre 22, le r^sultat Yq etant memorise dans 
le registre 18. L'op^ration « Z = X + (N * Yq) », N et X 

35 ayant et<§ retardes de k bits dans les cellules k retard 
32 et 34 et Yq ayant et6 mis dans le registre 22, 
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s'effectue £ l'aide des circuits de multiplication 20 et 
d'addition 31 . L'operation « S(i) = Z \ 2 k » est realisee 
par d£calage de k bits. La cornparaison de S(i) avec N 
s'effectue par la soustraction de N £ S(i) dans le 
5 circuit de soustraction 29, N . Stant retard^ de k bits 
dans la cellule 33, un 6ventuel debordement etant detecte 
et memorise dans le circuit de cornparaison 35 pour 
connaltre le rdsultat de la cornparaison. La soustraction 
de N 4 S(i) se faisant lors de 1' iteration suivante dans 

10 lo circuit de soustraction 28. 

De nombreuses ameliorations ont ete realis^es sur 
ce circuit. Les ameliorations ayant pour but d'aller plus 
vite et/ou de reduire la taille du circuit et/ou '-de 
reduire la consommat ion du circuit et/ou d'apporter des 

15 f onctionnalites suppiementaires sans augmenter la taille 
du circuit de maniere considerable, L'homme. du metier 
peut se reporter entre autre aux publications des 
demandes de brevets europeens EP - .0 712 070, EP - 0 712 
071, EP - 0 712 072, EP - 0 778 518, EP - 0 784 262, EP - 

20 0 785 502, EP - 0 785 503, EP - 0 793 165, EP - 0 853 
275, et egalement & la publication de la demande de 
brevet internationale WO/97 25668. 

II est egalement connu, de la publication de la 
demande de brevet europeen EP - 0 566 498 (ci-apr£s D3) , 

25 un autre circuit permettant de calculer I 1 operation 
elementaire P (A, B)^ = A * E * I mod N, avec I = 2~ n et n 
la taille de A, B ou N . Le circuit de D3 utilise un 
unique circuit de multiplication parallele/serie, 
represents dans D3 sous la forme d r un additionneur 

30 parallele couple a un registre £ decalage. Le circuit de 
D3 ne reproduit pas exactement I'algorithme de Montgomery 
et utilise une donnee intermediate egale £ (N-l)/2+l. Le 
circuit de D3 utilise un circuit de multiplication 
disposant d'une entree parallele de n bits et se limite a 

35 des operandes de calcul de taille figee. Par ailleurs, la 
taille du circuit de D3 est proport ionnelle £ la taille 
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des op6randes utilises, la surface ainsi occup£e 6tant 
considerable. 

La pr£sente invention a pour but d* am^lior'er l'etat 
de la technique en proposant un coprocesseur dont les 

5 performances en vitesse de traitement sont am61ior6es par 
rapport au circuit de D2, tout en occupant une surface 
piuc reduite de silicium. Le coprocesseur de 1* invention 
utilise un unique circuit de multiplication 
d' architecture voisine de D3. La presente invention se 

10 rapporte egalement au proc6d£ de calcul mis en ceuvre pour 
r§aliser une op6ration modulaire. 

L' invention a pour objet- un circuit integr£ 
comprenant un coprocesseur d ' ari thmet ique modulaire 
comportant des moyens de memorisation pour m6moriser et 

IS fournir en s6rie des premier et deuxi&me op6randes A et 
B, un modulo N et un r^sultat S, avec A un entier cod6 
sur a * k bits, a etant un entier non nul au plus 6gal £ 
m, et avec B, N et S qui sont des entiers codes sur au 
plus m * k bits, m et k 6tant des entiers supferieurs S 1, 

20 et des moyens de calcul pour effectuer des operations 
modulaires selon la mfethode de Montgomery, caracterisS en 
ce que les moyens de calcul cornportent un circuit pour 
calculer une donnee interm£diaire Y 0 ; une premiere bascule 
de k bits pour m£moriser un mot Ai de k bits de A; une 

25 deuxi£me bascule de k bits pour memoriser soit le mot de 
poids le plus faible de N soit Y 0 ; un circuit parallele 
d 1 addition connecte pour additionner les mots contenus 
dans les premiere et deuxieme bascules; un dispositif de 
selection coup!6 aux sorties des premiere et deuxieme 

30 bascules et du circuit parallele d' addition afin de 
fournir sur une sortie parallele soit le mot contenu dans 
la premiere bascule, soit le mot contenu dans la deuxieme 
bascule, soit la somme des mots contenus dans les 
premiere et deuxieme bascules, soit "z6ro'\ en fonction 

35 d'une part d'un bit de B, et d'autre part soit d ' un bit 
de Y 0 soit d'un bit de N; un circuit accumulateur qui 
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additionne, decale d ? un bit et memorise les mots fournis 
successivement par le dispositif de selection avec un bit 
d'un r£sultat actualist S, le bit. sortant du circuit 
accumulateur devenant un nouveau r£sultat actualist. 
5 Une amelioration de 1' invention consiste en ce que 

les moyens de calcul comportent un premier registre a 
decalage de • k bits pour recevoir. d'une part un mot de k 
bits de A et transmettre ledit mot en parallele a la 
premiere bascule et d 1 autre part N afin de retarder N de 
10 k cycles d f un signal d'horloge. 

L' invention concerne £galement un proc£de pour 
effectuer une operation modulaire selon la m£thode de 
Montgomery par decalage en s£rie de premier et deuxieme 
operandes A et B, d'un modulo N et d'un r^sultat 

15 actualist § travers des moyens de calcul, avec A un 
entier cod6 sur a * k bits, a etant un entier non nul au 
plus 6gal am, et avec B, N et S des entiers codes sur.au 
plus m * k bits, m et k etant des entiers sup£rieurs & 1 
caracterise en ce qu'il comporte la repetition des Stapes 

20 suivantes, i etant un indice variant de 0 a m-1: 
memorisation d f un mot Ai de k bits correspondant au mot de 
poids i de A dans une premiere bascule de k bits; , calcul 
d'une donnee intermediate Y 0 telle que Y 0 = ((S(i-l) + 
(Ai * B) ) * J 0 ) mod 2 k , avec S(i-l) qui correspond au 

25 (i-l)-ieme r6sultat actualist, S<-1) 6tant egal £ 0, et J 0 
6tant un mot de k bits r^solvant liquation ( ( J 0 * N) +1) 
mod 2 k = 0; memorisation du mot de k bits de poids faible 
de N puis de Y 0 dans une deuxieme bascule de k bits; 
addition dans un circuit parallele d 1 addition des mots 

30 contenus dans les premiere et deuxieme bascules; 
selection et fourniture soit du mot contenu dans la 
premiere bascule, soit du mot contenu dans la deuxieme 
bascule, soit de la somne des mots contenus dans les 
premiere et deuxieme bascules, soit "zero", en fonction 

35 d'une part d'un bit de B, et d'autre part soit d'un bit 
de Y 0 soit d'un bit de N; Additions successives dans un 
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circuit accumulateur des mots fournis par le dispositif 
de selection pour chaque paire de bits de B et de N, le 
rfrsultat de chaque addition etant additionne a un bit du 
precedent resultat actualist S(i-l) puis decaie d'un bit 
5 et memorise entre chaque addition, le bit sortant de 
1 1 accumulateur lors du d£calage correspondant a un 
nouveau resultat actualist S(i). 

Une amelioration consiste en ce que 1 ' on effectue 
une comparaison du resultat sortant de 1 1 accumulateur 
10 aveo N retarde de k cycles d'un signal d'horloge, et en 
ce que 1 1 on utilise un meme premier registre k d£calage 
de k bits pour retarder N et pour pouvoir charger les 
mots Ai dans la premiere bascule* De plus, la memorisation 
d'un mot h± dans la premiere bascule s 1 effectue par k 
15 decalages du mot Ai dans le premier registre puis 
chargement parallfele dan3 la premiere bascule apr£s que 
le mot Ai ait ete charge en entier dans . le premier 
registre. Le calcul de chaque bit de la donn6e 
intermediaire Y 0 s' effectue un cycle d'horloge avant que 
20 l r on ait besoin dudit chaque bit, 

L' invention sera mieux comprise et d'autres 
particularit6s et avantages apparaitront £ la lecture de 
la description qui va suivre, la description faisant 
reference aux dessins annexes parmi lesquels : 
25 la figure 1 represente un coprocesseur 

d'arithmetique modulaire selon 1'dtat de la technique, 

la figure 2 represente un coprocesseur 
d'arithmetique modulaire selon 1' invention, et 

les figures 3^7 representent de rnani^re detaill^e 
30 differents elements du coprocesseur de la figure 2. 

La figure 1 . ayant et£ d£crite precedemment et 
representant l'etat de la technique, elle ne sera pas 
decrite plus en detail. 

La figure 2 represents le coprocesseur 200 
35 d'arithmetique modulaire, selon un mode pr6f£re de 
realisation. Afin de ne pas surcharger le schema, seul le 
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cheminement des donnees a ete reprdsente sur cette figure 
2. Une machine d'etat (non representee) envoie les 
signaux de commande n&cessaires aux dif f erents Elements 
fonctionnels du coprocesseur 200. Le coprocesseur 200 
5 comporte les elements suivants: 

Des premier & quatrieme dispositifs de 
memorisation 201 a 204 contenant * respectivement des 
donnees A, B, N et S. Les donnees A, B, N et S sont des 
donn£es codees sur au plus m mots de k bits. Les 

10 dispositifs de memorisation 201 a 204 permettent de 
fournir de manidre independante n'importe quel mot de k 
bits de la donn£e mempris^e. Chaque dispositif de 
memorisation 201 a 204 dispose de premiere et deuxieme 
entrees series et d'une sortie de donnee de type serie. 

15 La premiere entree de chaque dispositif de memorisation 
201 & 204 est connectee £ une borne d ? entree Din. 

- Des premier et deuxieme circuits de soustraction 
205 et 206 de type s6rie disposent de premiere et 
deuxieme entries et d'une sortie de type s6rie. La 

20 premiere entree du premier circuit de soustraction 205 
est connective & la sortie du deuxieme dispositif de 
memorisation 202. La premiere entree du deuxieme circuit 
de soustraction 206 est connectee ci la sortie du 
quatrieme dispositif de memorisation 204. 

25 Des premier et deuxieme multiplexeurs 207 et 208 

sont couples respectivement aux deuxiemes entrees des 
premier et deuxieme circuits de soustraction 205 et 206. 
Les premier et deuxieme multiplexeurs 207 et 208 
disposent de deux entries chacun, l'une des entrees 

30 recevant un "zero" logique, et 1' autre des entrees etant 
connectee £ la sortie du troisieme dispositif de 
memorisation 203. L ' association des premier et deuxieme 
circuits de soustraction 205 et 206 avec les premier et 
. deuxieme multiplexeurs 207 et 208 permet de soustraire 

35 soit "zero" soit la donnee sortante du troisieme 
dispositif de memorisation 203 aux donnees sortantes des 



3NSDOCIO. <FR 2791157A1J_> 

DEC-24-2004 09:06 



02078363339 



96* 



P. 42 



HAKKS&CLtKK 



2A Uec 2UU4 13:bl 



P. 43/bb 



2791157 

9 

deuxieme et quatridme dispositif s de memorisation 202 et 
204 . 

- Des premier a quatridme circuits de retard 211 3 
214 servent a synchroniser les donnees en les retardant 

5 d'un cycle du signal d'une horloge de cadencement. Chacun 
des circuits de retard 211 £ 214 dispose d'une entree et 
d'une sortie, chaque circuit de retard 6tant par exemple 
constitue d'une simple bascule synchrone de type D. 
L'entree du premier circuit de retard 211 est connectee a 

10 la sortie du premier circuit de soustraction 205. 
L'entree du deuxieme circuit de retard 212 est connectee 
a la sortie du troisieme dispositif de memorisation 203. 
L'entree du troisieme circuit de retard 213 est connect^ 
a la sortie du deuxieme circuit de retard 212. L'entree 

15 du quatrieme circuit de retard 214 est connectfee h la 
sortie du deuxieme circuit de soustraction 206 . 

- Un premier registre 221 a decalage de k bits 
dispose d'une entree s6rie, d'une sortie s§rie et d'une 
sortie parallele. Ce premier registre 221 sert d'une part 

20 de registre tampon pour les mots de A et d 1 autre part de 
retardateur de k cycles d'horloge pour N. 

- Un deuxieme registre 222 £ decalage de k bits 
dispose d'une entree s6rie et d'une sortie parallele. Ce 
deuxidme registre 222 sert d'une part de registre tampon 

25 pour le mot N 0 de poids le plus faible de N et d' autre 
part pour une donn^e interm£diaire Y 0 . 

- Un troisieme multiplexeur 223 est associd au 
premier registre 221. Le troisieme multiplexeur 223 
dispose de trois... entries et d'une sortie, la sortie etant 

30 connectee a l'entree du premier registre 221. L'une des 
entries du troisJJyne multiplexeur 223 est connect^ & la 
sortie du premier dispositif de memorisation 201. Une 
autre des entries du troisieme multiplexeur est connectee 
k la sortie du premier circuit de soustraction 205. La 

35 derni£re des entries du troisidme multiplexeur 223 est 
connectee & la sortie du troisi&me circuit de retard 213. 
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- Un quatri^me multiplexeur 224 est associ6 au 
deuxieme registre 222. Le quatri^me multiplexeur 224 
dispose de premiere et deuxieme entrees et d'une sortie, 
la sortie Atant connects & 1' entree du deuxieme registre 

5 222. La premiere entree du quatri^me multiplexeur 224 est 
. connects & la sortie du troisi&me circuit de retard 213. 

- Des premiere et deuxieme bascules 225 et 226 a 
verrouillage de k bits servent & memoriser pendant le 
calcul d'une part un mot de A et d'autre part le mot N 0 de 

10 poids le plus faible de N ou la donn6e intermedial re Y 0 . 
Chacune des bascules 225 et 226 comporte une entree 
parallele et une sortie parallele, les entries des 
premiere et deuxieme bascules 225 et 226 etant 
respectivement connect^es aux sorties paralldles des 

15 premier et deuxieme registres 221 et 222. 

- Un circuit d'addition 227, disposant de deux 
entrees paralleles et d'une sortie parallele, a ses deux 
entries connect^es respectivement aux sorties des 
premiere et deuxieme bascules 225 et 226. La sortie du 

20 circuit d' addition 227 fournit ainsi la somme des 
contenus des premiere et deuxieme bascules 225 et 226. 

- Un dispositif de selection 228 est connect^ aux 
sorties des premiere et deuxieme bascules 225 et 226 et k 
la sortie du circuit d'addition 227 afin de pouvoir 

25 fournir sur une sortie parallele soit le contenu de la 
premiere bascule 225, soit le contenu de la deuxieme 
bascule 226, soit la somme des contenus des premiere et 
deuxieme bascules 225 et 226, soit "zero". Le dispositif 
de selection 228 dispose en outre de premiere et deuxieme 

30 entrees de selection qui recoivent respectivement un 
premier signal de selection SELA et un deuxieme signal de 
selection SELY. Lorsque les premier et deuxieme signaux 
SELA et SELY de selection sont tous deux £ un niveau 
logique "zero", alors la sortie du dispositif de 

35 selection 228 fournit sur sa sortie le nombre "zero" code 
sur k + 1 bits, Lorsque le premier signal de selection 
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SELA est a un niveau logique « un » et que le deuxieme 
signal de selection SELY est & un niveau logique 
« zero », alors la sortie du dispositif de selection 228 
fournit sur sa sortie le contenu de la premiere bascule 
5 225 . Lorsque le premier signal de selection SELA est a un 
niveau logique « zero x> et que le deuxieme signal de 
selection SELV est £ un niveau logique « un », alors la 
sortie du dispositif de selection 228 fournit sur sa 
sortie le contenu de la deuxieme bascule 226. Lorsque les 

10 premier et deuxieme signaux SELA et SELY de s61ection 
sont tous deux £ un niveau logique « un », alors la 
sortie du dispositif de selection 228 fournit sur sa 
sortie la somme des contenus des premiere et deuxieme 
bascules 225 et 226. 

15 - Un cinquieme multiplexeur 229, disposant de deux 

entries et d'une sortie, a sa sortie connectee A la 
premiere entree de selection du dispositif de selection 
228. l'une des entries du cinquieme multiplexeur 229 est 
connectee a la sortie du premier circuit de retard 211. 

20 L'autre des entrees du cinquieme multiplexeur 229 regoit 
un « zero » logique. 

Un sixieme multiplexeur 230, disposant de 
premiere a troisieme entries et d'une sortie, a sa sortie 
connectee & la deuxieme entree de selection du dispositif 

25 de selection 228. La premiere entree du sixieme 
multiplexeur 230 regoit un « zero » logique. La deuxieme 
entree du sixieme multiplexeur 230 est connectee & la 
sortie du troisieme circuit de retard 213. 

- Un circuit accumulateur 231 effectue une double 

30 multiplication par addition successive des mots sortant 
du dispositif de selection 228. Le circuit accumulateur 
231 comporte une entree paraLlele connectee 3 la sortie 
du dispositif de selection 228, une entre-e serie 
connectee £ la sortie du quatrieme circuit de retard 214, 

35 une sortie de resultat et trois sorties de valeurs 
internes notdes I 0 £ I2. Lors de chaque cycle de 1' horloge 
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de sequencement du coprocesseur 200, le circuit 
accumulateur additionne un bit present k 1' entree s6rie 
avec un mot present a l 1 entree parallele et avec un 
r^sultat interne, Le nouveau resultat est ensuite d£cal& 
5 pour devenir un nouveau resultat interne. 

- Un ssptieme multiplexeur 233 dispose de deux 
entrees ,et d'une sortie, L'une des entries du septieme 
multiplexeur 233 est connects a la sortie de resultat du 
circuit accumulateur 231. La sortie du septieme 

10 multiplexeur 233 est connects aux deuxiemes entrees des 
dispositifs de memorisation 201 £ 204, 

- Une porte ET 234 dispose de premiere et deuxi£me 
entries et d'une sortie. La premi&re entree de la porte 
ET 234 est connectee £ la sortie du premier circuit de 

15 soustraction 205, La deuxi£me entree de la porte ET 234 
est connect^© A un conducteur de la sortie paralldle de 
la premiere bascule 225 qui correspond au bit de poids le 
plus faible du mot contenu dans la premiere bascule 225. 

- Une porte OU Exclusif 235 dispose de premiere & 
20 cinquieme entries et d'une sortie. Une premiere entree de 

la porte OU Exclusif 235 est connects £ la sortie de la 
porte ET 234. une deuxi^me entree de la porte OU Exclusif 
235 est connectee. £ la sortie du deuxieme circuit de 
soustraction 206. les troisieme a cinqui&me entries de la 
25 porte OU Exclusif 235 sont connectees respectivement aux 
trois sorties de valeurs internes du circuit accumulateur 
231. 

- Un huiti&me multiplexeur 236 dispose de deux 
entries et d'une sortie. L'une des entrees du huiti&me 

30 multiplexeur 236 est connectee £ la sortie s£rie du 
premier registre 221. L'autre des entries du huiti£me 
multiplexeur 236 est connectee a la sortie sferie du 
premier circuit de retard 211. La sortie du huiti&me 

multiplexeur 236 est connectee £ l'autre entr6e du 

•j 

35 septieme multiplexeur 233. 

- Un circuit de comparaison 232 disposant de deux 
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entrees compare bit t. bit le resultat sortant du circuit 
accumulateur 231 avec la donn£e qui sort en s£rie du 
huitieme multiplexeur 236. Le resultat de la comparaison 
est en3uite transmis a un circuit de gestion (non 
5 represented du coprocesseur 200, 

La figure 2 repr^sente un cheminement de donndes 
entre different* elements f onctionnels . Le cheminement 
represents a l'aide des conducteurs de liaisons et des 
diff6rents mult iplexeurs peut presenter de nombreuses 
10 variantes, l'important etant d'assurer des ^changes de 
donn£es entre les differents elements de calcul et de 
memorisation. 

Certains elements de la figure 2 ne correspondent 
pas exactement a des Elements standards courammerit 
15 utilises par 1'homme du metier. Les figures 3 a 7 
pr^cisent la structure de ces differents elements. 

La figure 3 correspond a l'un des dispositif s de 
memorisation 201 £ 204. Le dispositif de memorisation 201 
comporte deux multiplexeurs 301 et 302 et des premier £ 
20 m-ieme registres h d£calage 303 notes egalement Rl a Rm. 

Le multiplexeur 301 comporte des premiere £ 
quatrifeme entrees et une sortie, Les premiere et deuxieme 
entrees du multiplexeur 301 constituent les premiere et 
. deuxieme entries du dispositif de memorisation 201. La 
25 troisi£me entree du multiplexeur 301 regoit un "zero" 
logique. 

Les premier £ m-ieme registres 303 sont des 
registres de k bits, £ decalage, qui disposent d'une 
entree serie et d'une sortie serie. Les entrees des 

30 premier a m-ieme registres 303 sont connectees ensembles 
£ la sortie du multiplexeur 301. 

Le multiplexeur 302 comporte des premiere k m-ieme 
entrees et une sortie. Les premieres 5 m-ieme entries du 
multiplexeur 302 sont respect ivement connectees aux 

35 sorties des premier £ m-ieme registres 303. La sortie du 
multiplexeur 302 est connects a la quatrieme entree du 
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multiplexeur 301. 

Des signaux de commande (non represents) servent a 
selectionner les entrees des multiplexeurs 301 et 302 et 

* V3lider 16 : d * cal «g« de maniere independante dans chacun 
des registres 303. 

Lorsque l'on desire memoriser une donnee de m * k 
bits dans le dispositif de memorisation 201, ladite 
donnee est rangee par mot de k bits dans chacun des 
registres 303. Pour memoriser la donnee, il suffit 
d'effectuer k decalages du premier registre 303, puis k 
decalages du deuxieme registre 303 et ainsi do suite 
jusqu'au m-ieme registre 303, l e multiplexeur 301 
selectionnant la source de la donnee. 

Pour fournir une donnee codee sur m * k bits, il 
suffit de decaler les uns apres les autres les registres 
303 dans l'ordre de memorisation de la donnee. 

Le bouclage de la sortie du multiplexeur 302 sur la 
quatrieme entree du multiplexeur 301 permet de faire 
entrer dans 1 1 un des registres 303 le mot de k bits qui 
20 est sorti simultanement . Ce bouclage assure la 
memorisation des donnees que l'on sort pour des usages 
multiples. 

Comme on peut le remarquer il est possible 
d'utiliser de maniere independante n'importe quel mot de 
25 k bits d'une donnee comportant plusieurs mots de k bits. 
II est egalement possible de faire entrer un mot de k 
bits dans l'un des registres 303 pendant que l'on sort un 
mot de k bits d'un autre des registres 303. 

La figure A reprSsente le premier (ou le deuxieme) 
30 circuit de soustraction 205 (ou 206). Le circuit de 
soustraction 205 comporte deux inverseurs 4 01 et 402, un 
additionneur elementaire et deux bascules 404 et 405 de 
memorisation de ...type D, connectes selon une technique 
connue, comme indique sur la figure 4. 

Ce circuit de soustraction 205 produit un retard 
systdmatique d'un cycle d'horloge sur les donnees le 
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traversant, Le deuxi£me circuit de retard 212 sert £ 
coropenser les retards produits sur les donates qui 
sortent du troisi&me dispositif de memorisation 203 . De 
m£me, on pourrait egalement compenser les retards sur la 
5 sortie du premier dispositif de memorisation 201. 
Cependant, les donnees sortantes du premier dispositif de 
memorisation 201 n'ont pas besoin d'etre synchroniser 
avec les autres donnees. 

L' utilisation de circuit de soustraction 205 tel 

10 que repr6sent6 sur la figure 4 permet Egalement de 
s'affranchir des premier, troisieme et quatridme circuits 
de retard 211, 213 et 214. En effet, la bascule 404 
produit un retard identique. II suffit d-extraire le 
signal a 1' entree de la bascule 404 et de l'inverser pour 

15 obtenir le prochain bit sortant. Un inconvenient est de 
ne pas avoir un signal stable des le front actif du 
signal d'horloge. Pour les systemes f onctionnant avec une 
frequence d'horloge peu £levee, cela permet d'6conomiser 
trois bascules D. 

20 Le circuit de la figure 5 represente le circuit de 

comparaison 232 de mani^re d6taill§e. Le circuit de 
comparaison 232 correspond a un circuit de soustraction 
sur lequel on extrait la retenue m6moris£e et la donn6e 
qui arrive sur la premiere entree du circuit de 

25 soustraction, le circuit de soustraction 6tant bien 
dvidemment simplifi£. La retenue memoris6e est inversee 
puis rentre dans un OU logique avec la donn6e presente 
sur la premiere entree. Le r^sultat sortant du OU logique 
lorsque la totalite des donn6es est rentree dans le 

30 circuit de comparaison 232 permet de savoir laquelle des 
deux donnees est superieure A 1' autre. Le r^sultat est 
memorise dans une bascule D 501. 

La bascule D 501 dispose d'une entree de donnee, 
d'une entree d'horloge, d'une entree de forgage k « un », 

35 d'une entree de forgage k « z6ro v>, et d'une sortie. 
L'entrde de donnee regoit la donnee sortant du OU 
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logique, 1'entree d'horloge regoit un signal de 
chargement- LD dont le front montant correspond a 
l'instant ou l'on desire obtenir . le rSsultat de la 
comparison. Les entries de forgage i « un » et a 
« z6ro », regoivent des signaux de pr6positionnement ST 
et RST pour initialiser le circuit de comparison 232. La 
sortie de la bascule 501 est connectee a un dispositif de 
s^quencement (non repr<§sent£) du coprocesseur 200. 

La figure 6 repr^sente un <§ldment du dispositif de 
selection 228. Le dispositif de selection comporte k + 1 
£16ments de ce type. Get element est constitue de trois 
porte ET 601 a 603 a trois entries, deux portes ET 601 et 
603 ayant une entree inverseuse, et d'une porte OU 604 & 
trois entrees. Le r61e de cet Element est le meme que 
celui d'un multiplexeur a quatre entrees dont la 
quatri^me entr6e recoit un "zero" logique, Dans le 
dispositif de selection 228, l'Slement correspondant au 
bit de poids le plus fort ne comporte que la* porte ET 
centrale 602 car les premiere et deuxieme bascules 224 et 
20 225 ne disposent que de k bits. 

La figure 7 reprSsente un ensemble constitue par le 
circuit accumulateur 231 et le dispositif de selection 
228. L'ensemble ainsi constitue realise deux 
multiplications avec addition des deux produits et 
25 addition d'une autre donnee en s£rie. si on appelle 
LATCHA la donn6e pr6sente dans ia premiere bascule 225, 
LATCHY la donn6e pr6sente dans la deuxieme bascule 226, 
SELA la donnee arrivant en s6rie sur la premiere entree 
de selection du dispositif de selection 228, SELY la 
30 donnfee arrivant en serie sur la deuxieme entree de 
selection du dispositif de selection, ES la donnee 
arrivant en serie sur 1' entree s6rie de 1' accumulateur 
231, et RES le r^sultat sortant de 1 ' accumulateur 231, 
alors on effectue 1' operation suivante : 
35 RES = (SELY * LATCHY) + (SELA * LATCHA) + ES 

La structure du circuit accumulateur 231 correspond 
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a une structure standard d' accumulateur . Ledit circuit 
231 comporte : 

- des premiere a k-i£me bascules d ! accumulation 701 
a 704, par exemple de type D, disposant chacune d'une 

5 entree de donnee et d'une sortie, I'entree de donnee de 
la premiere bascule 701 6tant connect^e au conducteur de 
poids le plus fort (c'e&t a dire de poids k) de la sortie 
parall^le du dispositif de selection 228 ; 

- des premiere a (k+l)-ieme bascules de retenue 705 
10 a 709, par exemple de type D, disposant chacune d ' une 

entree de donnee et d'une sortie ; 

- une bascule de resultat 710, par exemple de type 
D, disposant d'une entr6e de donnee et d'une sortie, la 
sortie de cette bascule de resultat correspondant a la 

15 sortie de 1' accumulateur 231 ; 

- des premier a (k+l)-i£me additionneurs 711 a 715 
standards (ou additionneur complet) disposant chacun de 
premiere a troisi&me entries, d'une sortie de r€sultat, 
et d'une sortie de retenue, les premieres entries des 

20 premier a k-i&me additionneurs 711 a 714 6tant connect^es 
au dispositif de selection 228 pour recevoir 
respectivement les bits de poids k-1 a 0, les deuxi^mes 
entrfees des premier a k-ieme additionneurs 711 a 714 
£tant connect6es respectivement aux sorties des premiere 

25 a k-i&me bascules d 1 accumulation 701 a 704, la premiere 
entree du (k+l)-16me additionneur 715 6tant connects a 
la sortie de resultat du k-ieme additionneur 714, la 
deuxieme entree du (k+l)-i&me additionneur 715 
correspondant a 1' entree s6rie de 1' accumulateur 231 qui 

30 re<?oit la donnee ES, les troisiemes entries des premier d 
{k+l)-ieme additionneurs 711 a 715 6tant respectivement 
connect6es aux sorties des premiere k (k+l)-i£me bascules 
de retenue 705 k 709, les sorties de resultat des premier 
a (k-l)-i§me additionneurs 711 a 713 6tant respectivement 

35 connectees aux entrees de donn^es des deuxi&me a k-i£rne 
bascules d 1 accumulation 702 a 704, la sortie de resultat 
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du (k+D-ieme additionneur 715 etant connectee a 1' entree 
, de la bascule de resultat 710, les sorties de retenue des 
premier a (k+l)-ieme additionneurs 711 a 715 etant 
respective^ connectees aux entrees de donnees des 
5 premiere a (k+l)-ieme bascules de retenue 705 a 709. 

Les sorties internes I 0 a I 2 correspondent 
respectivement aux sorties de retenue des k+l-ieme et 
k-ieme additionneurs 715 . et 714 et a la sortie de 
resultat du (k-l)-ieme additionneur 713. 
10 Dans la pratique, les bascules de. retenue, 

^'accumulation et de resultat 701 a 710 comportent 
egalement des entrees d'horloge et de forcage a zero. 
Toutes les entrees d'horloge desdites bascules 701 a 710 
sont connectees ensembles et re ? oivent un meme signal 
15 d'horloge. De meme, toutes les entrees de forcage a zero 
sont connectees ensemble pour etre remise a z 6ro 
simultanement avant chaque calcul. Ces entrees ne sont 
pas representees pour ne pas surcharger inutilement les 
dessins . 

Le fonctionnement du dispositif decrit sur cette 
figure 7 est relativement simple. Lors de chaque cycle du 
signal d'horloge qui synchronise le coprocesseur, on 
additionne successivement soit LATCHA, soit LATCHY, soit 
LACHA + LATCHY, soit zero avec le contenu des bascules de 
retenue 705 a 709 et avec le bit arrivant de la donnee ES 
au contenu des bascules d 1 accumulation 701 a 704, le mot 
contenu dans les bascules d ' accumulation 701 A 704 etant 
decal6 successivement, de sorte que le bit contenu dans 
la bascule de resultat 710 corresponde au bit qui sort de 
30 1' accumulateur 231. 

Avant de cotnmencer un calcul, on effectue 'une 
remise a z6ro de toutes les bascules d ' accumulation, de 
retenue et de resultat 701 a 710. Puis, la double 
multiplication s' effectue ensuite par decalage simultane 
35 des donnees SELA, SELY et ES, a chaque cycle du signal 
d'horloge. Les bits de SELA et de SELY determinent 



1NSOOCIO:«FH 2791 167AlJ_» 

DEC-24-2004 09:07 02078363339 9bX P. 52 



MAKKS&ULtKK 



I- a x : u ^ i J / b :j b :j : J :j y 



24 Uec *UU4 i:j:b^ 



2791157 

19 

quelle (s) donn£e(s) parmi LATCHA et LATCHY doivent etre 
accumul^es (voir le fonctionnement du dispositif de 
selection 228). Lorsque la totalite des bits des donn^es 
SELA et 5ELY a £te d£cal£e (soit apres m * k cycles 
5 d'horloge), on fournit des "O" (pendant k+1 cycles 
d'horloge) £ la place des donn^es SELA, SELY et ES afin 
de sortir la fin du rfesultat encore contenu dans les 
bascules d 1 accumulation 701 & 704. 

Si lesdites donn^es sont cod6es sur des nombres de 
10 bits diff£rents, il convient de completer chaque donnee £ 
1' aide de « 0 ». 

A present que la description structurelle et 
f onctionnelle des elements composant le coprocesseur a 
6te faite, il convient d'expliquer £ present le 
15 fonctionnement global du coprocesseur . Les explications 
qui vont suivrent permettront a l'homme du metier de 
synchroniser de maniere globale le coprocesseur afin 
d'obtenir les operations desir6es. Par la suite, on 
utilise les donn^es A, B et N qui sont des entiers non 
20 nuls codes sur respectivement a * k, b * k et n * k bits, 
avec a, b et n des entiers non nuls inf^rieurs £ m. Dans 
un premier temps, on considere N impair. 

Operation e!6mentaire Pfi e id(A, B) w = A*B*I mod N : 

A) Initialisation du coprocesseur : 

25 - On charge les donn6es A, B, N respectivement dans les 
premier £ troisieme dispositifs de memorisation 201 a 
203 ; 

- On charge des zeros dans le quatri^me dispositif de 
memorisation 204, la donnee etant appelee S(-l) ; 
30 - On initialise le dispositif de cornparaison 232 pour que 
la dernifere cornparaison indique que N est superieur a 
S(-l) . 

B) Repetition a fois de la boucle de calcul suivante, 
avec i un indice variant de 0 & a-1 : 

35 B-l) On charge simultan£ment le i-i£rne mot Ai de 

poids faible de A dans le premier registre 221 et 
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le mot No de poids le plus faible de N dans le 
deuxi&me registre 222. 
B-2) Puis, on charge simultanement les mots Ai et N Q 
respectivement dans les premiere et deuxieme 
5 bascules 225 et 226, 

B-3) On initialise & zero les circuits de 
soustraction 205 et 206, les circuits de retard 
211 a 214, le premier registre 221 et toutes les 
bascules 701 k 710 de 1' accumulateur 231. 

10 B-4) On d^cale simultanement de deux unites les mots 

B, N et S(i-l) contenus dans les deuxidme £ 
quatridme dispositifs de memorisation 202 £ 204, 
des: zeros 6tant fournis sur les premiere et 
deuxi£me entries du dispositif de selection 228. 

15 B-5) On effectue k d£calages successifs sur les 

deuxi&ne k quatri^me dispositifs de memorisation 
202 k 204, sur les premier et deuxieme registres 
221 et 222. La sortie de la porte OU Exclusif 235 
fournit successivement les k. bits d'une donn£e 

20 Y 0 , avec Y 0 = ((S(i-l) + A ± * B) * J 0 ) mod 2 k , JO 

6tant d£fini par 1' Equation (<N*J 0 )+1) mod 2* = 0. 
La sortie de la porte OU Exclusif est relive 
d'une part a 1' entree du deuxieme registre 222 et 
d' autre part h la deuxiSme entree de selection du 

25 dispositif de selection 228, La donnee B est 

fournie & la premiere entree de selection du 
dispositif de selection. L'entree du premier 
registre 221 regoit bit £ bit le mot N 0 de poids 
faible de N. L' entree s<£rie de 1 ' accumulateur 

30 re<;oit S(i-l) si la derni^re comparaison indique 

que S(i-l) < N, ou re<?oit S(i-l) — N si la 
derni^re comparaison indique que S(i-l) £ N (la 
soustraction s' ef f ectuant , dans le deuxieme 
circuit de soustraction 206). La sortie de 

35 1' accumulateur 231 fournit k bits 6gaux a z6ro 

qui ne sont pas memorises. 
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B-6) On transfert le contenu du deuxieme registre 222 

£gal a Y 0 dans la deuxieme bascule 226. 
B-7) On effectue (n-1) * k decalages succeasifs sur 
les deuxieme .4 quatrieme dispositifs de 
5 memorisation 202 & 204 et sur le premier registre 

221. La donn6e B est fournie A la premiere entree 
de selection du dispositif de selection. Les n 1 
mots N x £ N n -i de poids fort de N sont fournis bit 
3 bit d'une part £ 1' entree du premier registre 
10 221 et d' autre part & la deuxieme entree de 

selection du dispositif de selection 228. 
L' entree s^rie du circuit accumulateur 231 regoit 
S(i-l) si la derniere comparaison indique que 
S{i-1) < N, ou regoit S(i-l) - N si la derniere 
15 comparaison indique que S(i-l) ^ n (la 

soustraction s'effectuant dans le deuxieme 
circuit de soustraction 206). La sortie du 
circuit accumulateur 231 fournit les (n-1) * Jc 
bits de poids faible de S(i) qui sont m4moris6s 
dans le quatrierne dispositif de memorisation 204. 
Les (n-1) "* k bits de poids faible de S(i) sont 
compares avec les (n-1) * k bits de poids faible 
de N dans le circuit de comparaison 232. 
B-8) On effectue k+1 decalages successifs sur le 
25 quatrierne dispositif de memorisation 204 et sur 

le premier registre 221. Les premiere et deuxieme 
entries de selection du dispositif de selection 
228 re<?oivent des z6ros pour pouvoir fournir les 
k bits de poids fort de S(i) et finir la 
30 comparaison de S(i) avec N. Le resultat de la 

comparaison est memorise pour la prochaine 
iteration. 

C) A 1' issue de la derniere iteration, le r£3ultat S(a-l) 
memorise dans le quatrierne dispositif de memorisation 
subit une nouvelle soustraction de N si S(a-l) £ N. La 
soustraction s' effectue par decalage simultan6 de 
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S(a-l) et N dans le deuxieme circuit de soustraction 
206. Pour recuperer le resultat de la soustraction, on 
fournit des zeros aux entrees de selection du 
dxspositif de selection 228 afin de rendre transparent 
le circuit accumulateur 231. 

L'homme du metier peut remarquer que la donnee de 
calcul Jo n'est plus calculee. En effet, les connexions 
realisees sur les entrees de la porte ou Exclusif 
permettent de calculer directement Y 0 avec un decalage 
d'un cycle d'horloge par rapport au calcul de S(i). 

De meme, l'homme du metier peut remarquer que l'on 
commence le calcul avec N 0 dans la deuxieme bascule 222 
puis que l'on- remplace N 0 par Y 0 . Le resultat est 
exactement le meme que si l'on avait Y 0 dans la deuxieme 
15 bascule 222 en fournissant N en serie sur la deuxieme 
entree de selection depuis le debut du calcul. 

L'homme du metier peut remarquer qu' avantageusement 
le premier registre 221 est utilise d'une part pour 
transferer un mot dans la premiere bascule 225, et 
d' autre part pour retarder N de k cycles d'horloge. 
Multiplication modulaire : 

Pour effectuer une multiplication modulaire, il 
suffit d' effectuer deux operations el4mentaires P £ield en 
introduisant un parametre H de correction d'erreur. On 
effectue ainsi soit P fioltl (H, P flcla (A, B) H ) H , soit P fieId (A, 
P field (H, B ) d ) u, avec H = 2 (a * n,,,t mod N. 
Calcul de A c mod M 

On pose C un entier code sur c bits et dont le bit 
de poids 2 C ' 1 est egal a 1 . On considere que A et N sont 
codes sur un meme . nombre de bit egal a n*k bits, si A est 
de caille infirieure a N, alors on complete A avec des 
zeros en bits de poids fort. 

a) on calcule H = 2 2 * n * k mod N. 

b) on calcule R(l) = Pfield (H , A) , et on memorise R<1) 
35 dans les Premier et deuxieme dispositifs de 

memorisation 201 et 202, le contenu du premier 
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dispqsitif 201 «tant appele A, et le contenu de 
deuxieme dispositif 202 etant appele B. 

c) on effectue une boucle indexee par un indice i variant 
de 2 & c : 

c-1) On effectue une operation P field (B, B) N , en 
chargeant les mots de B a la place des mots de A 
lors de l'etape B-l . Le rdsultat est stocke dans 
le deuxieme dispositif de memorisation 202, 

c-2) Si le bit de poids 2 c " i de C est egal a 1 alors on 
effectue 6galement une operation P field (A, B) M , et 
on stocke le resultat dans le deuxieme dispositif 
de memorisation 202. 

d) On charge « 1 » code sur n*k bits dans le premier 
dispositif de memorisation 201. 

e) On effectue une operation Pf ie id(l, B) v pour obtenir le 
resultat final. 

Calcul de H = 2 (n * p),k mod N, p etant un entier 
Pour effectuer le calcul de H, on neutralise une 
partie des 616ments du coprocesseur 200. Le cinqui£me 
multiplexeur .229 est positionne pour fournir des « zero » 
sur sa sortie. On charge une donn6e egale £ « 1 » cod6 
sur k bits dans la deuxieme bascule 226. Le sixieme 
multiplexeur 230 est positionne pour relier la sortie du 
troisieme circuit de retard 213 a la deuxieme entree de 
s61ection du dispositif de selection 228. Le huiti&me 
multiplexeur 236 est positionne pour relier 1' entree du 
comparateur 232 £ la sortie du premier circuit de retard 
211. L' ensemble resultant de ces differentes 
neutralisations transforme le coprocesseur 200 en circuit 
de calcul de H par soustractions successives, Un tel 
circuit est decrit dans la demande europeenne n°0 601 
907. 
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REVENDICATIONS 

1. Circuit int4gr6 comprenant un coprocesseur (200) 
d' arithmdtique modulaire comportant ; 

- des moyens de memorisation (201 & 204) pour 
mfemoriser et fournir en serie des premier et deuxi£me 

5 op6randes A et B, un modulo N et un rdsultat S, avec A un 
entier code sur a * k bits, a etant un entier non nul au 
plus 6gal a m, et avec B, N et S qui sont des entiers 
codes sur au plus m * k bits, rn et k Atant des entiers 
superieurs a 1 ; 

10 - des moyens de calcul pour effectuer des 

operations modulaires selon la methode de Montgomery, 

caracterise en ce que les moyens de . calcul 
comportent ; 

- un circuit (234, 235) pour calculer une donnee 
15 interrnediaire Y 0 ; 

- une premiere bascule (225) de k bits pour 
meraoriser un mot Ai de k bits de A ; 

- une deuxidme bascule (226) de k bits pour 
mdmoriser soit le mot de poids le plus faible de N soit 

20 Y 0 ; 

- un circuit parallele d'addition (227) connect^ 
pour additionner les mots contenus dans les premiere et 
deuxieme bascules (225, 226) ; 

- un dispositif de selection (228) couple aux 
sorties des premiere et deuxi£me bascules (225, 226) et 
du circuit parallele d 1 addition (227) afin de fournir sur 
une sortie parallele soit le mot contenu dans la premiere 
bascule (225), soit le mot contenu dans la deuxi^me 
bascule (226), soit la somme des mots contenus dans les 
premiere et deuxidme bascules (225, 226), soit "zSro", en 
fonction d'une part d'un bit de B, et d'autre part soit 
d'un bit de Y 0 soit d ! un bit de N ; 

- un circuit accurnulateur (231) qui additionne, 
d^cale d'un bit et memorise les mots fournis 
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successivement par le dispositif de selection (228) avec 
un bit d'un r£sultat actualist S, les bits sortant du 
circuit accumulateur (231) devenant un nouveau r^sultat 
actualist. 

5 2. Circuit selon la revendication 1, caracteris6 en 

ce que les moyens de calcul comportent un premier 
registre (221) 3 decalage de k bits pour recevoir d'une 
part un mot de k bits de. A et transmettre ledit mot en 
parallele 5,1a premifere bascule (225 ) et d 1 autre part N 
10 afin de retarder N de k cycles d'un signal • d T horloge . 

3. Circuit selon la revendication 1, caracteris6 en 
ce que le circuit pour calculer la donnde Y 0 est constitu£ 
d'une porte de type OU Exclusif (235) £ cinq entrees qui 
re<?oit une premiere donnee provenant d'une porte de type 

15 ET logique (234) entre le bit de poids faible du mot de A 
present dans la premiere bascule (225) et le prochain bit 
de B a fournir au dispositif de selection (228), une 
deuxi^me donnee correspondant au prochain bit de S a 
fournir au circuit accumulateur (231), et & de3 troisieme 

20 a cinquieme donnfees qui correspondent a des valeurs 
internes du circuit accumulateur (231). 

4. Proced6 pour effectuer une operation modulaire 
selon la methode de Montgomery par decalage en s6rie de 
premier et deuxi£me op£randes A et B, d'un modulo N et 

25 d'un resultat actualist £ travers des moyens de calcul, 
avec A un entier code sur a * k bits, a etant un entier 
non nul au plus egal S m, et avec B, N et S qui sont des 
entiers codes sur au plus m * k bits, m et k £tant des 
entiers sup^rieurs a 1 caract£ris6 en ce qu'il cbmporte 

30 la repetition des etapes suivantes/ i £tant un indice 
variant de O i m-1 : 

- memorisation d'un mot Ai de k bits correspondant a 
un mot de poids i de A dans une premiere bascule (226) de 
k bits ; 

35 - calcul d'une donnee intermediaire Y 0 telle que 

Y 0 - ((S(i-l) + (Ai * B)) * Jq) mod 2 k , avec S(i-l) qui 
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correspond au (i-l)-ieme resultat actualise, S(-l) etant 
egal a 0, et J 0 etant un mot de k bits . resolvant 
1' equation ( ( J 0 * N) +1) mo d 2* = 0 ; 

- memorisation du mot de k bits de poids faible de 
N puis de Y 0 dans une deuxieme bascule (226) de k bits ; 

- addition dans un circuit psrallele d'addition 
(227) des mots contenus dans les premiere et deuxieme 
bascules (225, 226) ; 

- selection et fourniture soit du mot contenu dans 
la premiere bascule (225), soit du mot contenu dans la 
deuxieme bascule (226), soit de la somme des mots 
contenus dans les premiere et deuxieme bascules (225, 
226), soit "zisro", en. fonction d'une part d'un bit de B, 
et d' autre part soit d'un bit de Y 0 soit d'un bit de N ; 

13 ~ Additions successives dans un circuit 

accumulateur (231) des mots fournis par le dispositif de 
selection (228) pour chaque paire de bits de B et de N, 
le resultat de chaque addition etant additionne a un bit 
du precedent resultat actualise S(i-l) puis decale d'un 
bit et memorise entre chaque addition, le bit sortant de 
1' accumulateur (231) lors du decalage correspondant a un 
nouveau resultat actualise S<i). 

5. Proc6d<§ selon la revendi cation 4, caracterise en 
ce que 1 ' on effectue une comparaison du resultat sortant 
25 de 1' accumulateur (231) avec N retarde de k cycles d'un 
signal d'horloge, et en ce que 1 ' on utilise un m€me 
premier registre (221) a decalage de k bits pour retarder 
N et pour pouvoir charger les mots Ai dans la premiere 
bascule (225) . 

30 6 - Proc6d6 selon 1 1 une des revindications A ou 5, 

caracterise en ce que la memorisation d'un mot Ai dans la 
premiere bascule (225) s' effectue par k decalages du mot 
Ai dans le premier registre (221) puis chargement 
parallfele dans la premiere bascule (225) apr&s que le mot 

35 Ai ait 6te charge en entier dans' le "premier registre 
(221). 
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7. Proced6 selon l'une des revendicat ions 4 £ 6, 
caracterise en ce que le calcul de chaque bit de la 
donnSe interm£diaire Y Q s'effectue un cycle- d'horloge 
avant que l'on ait besoin dudit chaque bit. 
5 8 - Proc6d£ selon la revendication 4, dans lequel on 

effectue les Stapes suivantes 
A) Initialisation du coprocesseur : 

- chargement des donnfees A, B, N respect ivement dans des 
premier a troisi^me dispositifs de memorisation (201 & 

10 203) ; 

- chargement de z£ros dans un quatri&me dispositif de 
memorisation (204), la donn6e etant appel^e S(~l) ; 
initialisation d'un dispositif de comparaison (232) 
pour qu'une dernifere comparaison indique que N est 

(5 sup6rieur 3 S(-l) ; 

E) repetition a fois de la boucle suivante, avec i un 
indice variant de 0 a a-1 : 

B-l) chargement simultanS du i-ieme mot Ai de poids 
faible de A dans un premier registre (221) de k 
20 bits et du mot N 0 de poids le plus faible de N 

dans un deuxi£me registre (222) de k bits ; 
B-2) puis, chargement simultan<§ des mots Ai et No 
respectivement dans les premiere et deuxidme 
bascules (225, 226) ; 
25 B-3) initialisation des circuits de 

(205, 206), des circuits de retard 
du premier registre (221) et 
accumulateur (231) ; 
B-4) d£calage simultane des mots B , N et S(i-l) 
30 contenus dans les deuxi^me a quatri&me 

dispositifs de memorisation (202 £ 204), des 
zeros 6tant fournis au dispositif de selection 
(228) ; 

B-5) realisation de k d£calages successifs sur les 
35 deuxieme ci quatri£me dispositifs de memorisation 

(202 & , 204), sur les premier et deuxi&me 



sous traction 
(211 a 214), 
du circuit 
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registres (221, 222), des moyens de , calcul 
fournissant successivement les k bits de la 
donnee Y 0 d'une part au deuxieme registre (222) 
et d f autre part au dispositif de selection (228), 
5 la donnee B etant fournie £galement au dispositif 

de selection (228), le premier registre (221) 
recevant bit A bit le mot N 0 de Jc bits de poids 
faible de N, 1' accumulateur (231) recevant en 
s£rie S(i-l) si la derniere comparaison indique 
10 que S(i-l) < N, ou recevant en serie S(i-l) - N 

. si ia derniere comparaison indique que 
S(i-l) > N / 

B-6) transfert du contenu du deuxieme registre 

(222) §gal £ Y 0 dans la deuxieme bascule (226) ; 
B-7) realisation de (n-1) * k decalages successifs 
sur les deuxieme A quatrieme dispositifs de 
memorisation (202 a 204) et sur le premier 
registre (221), la donnee S etant fournie au 
dispositif de selection (228), les n-1 mots N x a 
N n -i de k bits de poids fort de N etant fournis 
bit a bit d'une part au premier registre (221) et 
d'autre au dispositif de selection (228), 
1' accumulateur (231) recevant en serie S(i-l) si 
la derniere comparaison indique que S(i-l) < N ou 
recevant en serie S(i-l) - N si la derniere 
comparaison indique que S(i-l) ^ N f 

1' accumulateur (231) fournissant les (n-1) * k 
bits de poids faible de S(i) qui sont memorises 
dans le quatrieme dispositif de memorisation 
(204), les (n-1) * k bits de poids faible de S(i) 
etant compares avec les (n-1) * k bits de poids 
faible de N dans le circuit de comparaison 
(232) ; 

B-8) realisation de k+1 decalages successifs sur le 
35 quatrieme dispositif de memorisation (204) et sur 

le premier registre (221), pour pouvoir memoriser 
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lea k bits de poids fort de S(i) et finir la 
comparaison de S(i) avec N, le r6sultat de la 
comparaison etant m6moris4 pour la prochaine 
iteration. 
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